谷歌推出了 OSV Scanner,这是一种新工具,允许开发人员扫描其项目中使用的开源软件依赖项中的漏洞。
该扫描器从 OSV.dev(谷歌于2021 年 2 月发布的开源代码分布式漏洞数据库)中提取数据,以提供有关影响开源代码的已知安全问题的相关信息。
开源代码问题
开源软件开发人员在他们的项目中通常依赖于许多已经可用的工具、库和组件,这通常会导致更快地开发更复杂的解决方案
这些构建块通常对于程序的核心功能至关重要,赋予程序专门的功能,否则必须从头开始编写。
与任何代码一样,这些开源组件并非不受安全漏洞影响。当合并到其他软件项目中时,这些缺陷也会传递。
对于使用许多依赖项的大型程序,跟踪每次构建时出现的安全问题并评估对程序本身的潜在影响成为一项复杂的任务。
如果考虑到这些依赖项中的许多依赖项都有自己的依赖项,那么需要从安全角度评估的包的数量使得漏洞跟踪成为一项艰巨的任务。
OSV扫描仪
这就是谷歌新的 OSV 扫描器发挥作用的地方,自动匹配给定软件项目的所有依赖项中的代码,包括传递依赖项,并在需要安全更新时通知开发人员。
“OSV-Scanner 生成可靠、高质量的漏洞信息,缩小了开发人员的软件包列表与漏洞数据库中的信息之间的差距,”公告中写道。
扫描器使用来自权威和可靠来源的公开发布的建议,遵循OSV 模式 对已安装软件包版本中的漏洞进行分类。
目前OSV.dev服务支持Linux Kernel、Android、Debian、Alpine、PyPI、npm、OSS-Fuzz、Maven等16大编码生态。
它是世界上最大的开源漏洞数据库,仅 2022 年就有 23,000 条建议。
谷歌表示,OSV Scanner 的下一步是改进 C/C++ 漏洞支持,应对极具挑战性的软件生态系统,并集成独立的 CI 操作,以便轻松安排扫描。
将来,OSV 扫描器还将推荐解决已识别安全漏洞的最小建议版本。
